Настоящий стандарт содержит руководство по реализации требований к системе менеджмента информационной безопасности (СМИБ), приведенных в ИСО/МЭК 27001, и предоставляет рекомендации (используя вспомогательный глагол "должен"), возможности (используя вспомогательный глагол "следует") и допустимое действие (используя вспомогательный глагол "может") в отношении этих требований. Настоящий стандарт не ставит целью предоставление общего руководства по всем аспектам информационной безопасности (ИБ).
________________
Далее по тексту введено сокращение ИБ.
Разделы 4-10 настоящего стандарта отражают структуру ИСО/МЭК 27001.
Настоящий стандарт не содержит новых требований к СМИБ и связанных с ней терминов и определений. Организации должны обращаться за новыми требованиями и определениями к ИСО/МЭК 27001 и ИСО/МЭК 27000. Организации, внедрившие СМИБ, не обязаны соблюдать указания, содержащиеся в настоящем стандарте.
В СМИБ важны следующие этапы:
- понимание потребностей организации и необходимости установления политики и целей ИБ;
- оценка рисков организации, связанных с ИБ;
- внедрение и функционирование процессов ИБ, мер по обеспечению ИБ и других мер по обработке рисков;
- мониторинг и анализ эффективности и результативности СМИБ;
- практика постоянного улучшения.
СМИБ, как и любая другая система менеджмента, включает следующие ключевые компоненты:
a) политика;
b) лица с определенными обязанностями;
c) процессы управления, связанные с:
1) установлением политики;
2) обеспечением осведомленности и компетентности;
3) планированием;
4) реализацией;
5) эксплуатацией;
6) оценкой эффективности;
7) управленческим анализом;
8) улучшением;
d) документированная информация.
СМИБ имеет дополнительные ключевые компоненты, такие как:
e) оценка рисков ИБ;
f) обработка рисков ИБ, включая определение и реализацию мер обеспечения ИБ.
Настоящий стандарт носит общий характер и предназначен для применения во всех организациях, независимо от их типа, размера или характера. Организация определяет, какая часть этого руководства применяется к ней в соответствии с конкретным контекстом организации (см. ИСО/МЭК 27001, раздел 4).